Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Desktop hat sich verändert (https://www.trojaner-board.de/80664-desktop-hat-veraendert.html)

Linkk 22.12.2009 23:08
Desktop hat sich verändert
 
Liste der Anhänge anzeigen (Anzahl: 1)
Moin Leute!
Ich hab heute im inet gesurft auf einer seite auf der ich schon 1000 mal war (http://battleforge.gamona.de/)
Da sind 4 meldungen von antivir gekommen
2mal TR/Dropper.GEN
und 2mal TR/PCK.Tdss.AA.2418
aber das ist nicht das Problem, sondern dass sich der Desktophintergrund in einen Neongrünen mit schwarzen Kasten verändert hat. Das Problem hatte ich noch nie und möchte wissen ob das normal ist.
Zusätzlich erscheint unten rechts manchmal auf englisch der text dass ich nach updates für windows suchen soll und darauf klicken soll. Das symbol idt ein weißes Kreuz auf rotem Kreis.

Danke im vorraus MfG Linkk

Linkk 22.12.2009 23:13
Liste der Anhänge anzeigen (Anzahl: 1)
ry für doppelpost, aber ich weiß nciht wie ichs sonst machen soll
hier ist die meldung... die hab cih davor auch noch nie gesehen

Julieh 22.12.2009 23:14
Du hast dir da eine scheiße eingefangen.

Sag mir mal ob es diese Dateien auf deinem computer gibt:

%Program Files%\AV Care\AVCare.exe
%Program Files%\AV Care\Uninstall.exe
%Program Files%\AV Care\PP.exe

AUF KEINEN FALL DIESES SCHEIß POPUP ÖFFNEN!!

Wenn die nicht vorhanden sind acker dieses Liste mal ab:
http://www.windowsvistaplace.com/rem...ersoftware/de/

/Edit:

Du hast dir sogenannte "Scareware" eingefangen.

Und wenn schon dann diese:
http://www.411-spyware.com/de/your-s...#how-to-remove

Und wenn das nicht hilft, melde dich einfach nochmal^^

Linkk 22.12.2009 23:20
Der Pfad sieht aus wie für Vista also cih ahb XP und in C\Programme gibts kein AVCare bei mir

Julieh 22.12.2009 23:22
Hab's editet!


Okay, hast anscheinen recht^^


C:\Program Files <-- nach av care suchen. wenn nicht die andere liste abackern, die dort unten als link gepostet wurde.

Linkk 22.12.2009 23:23
Error:
"Falscher Parameter"

Ist es normal dass "Der taskmanager durch den Administrator deaktiviert wurde"
Also cih bin der Administrator natürlich ^^

Julieh 22.12.2009 23:27
ich geh jetzt offline. entweder du addest mich in icq - 568899568 oder wir reden morgen hier weiter. *hust* icq wäre mir angenehmer^^



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Falls der Schlüssel System noch nicht existiert, dann musst du ihn erstellen."Bearbeiten" > "Neu" >
"Schlüssel". Als Schlüsselnamen "System" eingeben.
Doppelklicken Sie auf "DisableTaskMgr".
Falls dieser Schlüssel noch nicht existiert, dann musst du ihn erstellen.
Dazu klicken mit der rechten Maustaste in das rechte
Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert". (REG_DWORD)
Geben Sie nun den Namen "DisableTaskMgr" ein.
Änder den Wert von "1 "auf "0".
Die Änderungen werden wahrscheinlich erst nach einem Neustart aktiv.
Hinweise:
DisableTaskMgr:
0 = Der TaskManager ist eingeschalten/aktiviert.
1 = Der TaskManager ist ausgeschalten/deaktiviert.


Nein das ich nicht normal, ich such dir gleich den passenden Registry-Schlüssel raus, den du ändern musst^^

Linkk 22.12.2009 23:38
ok cih habe alles ab dem ordner CurrentVersion erstellt und starte den PC jezz neu... mal sehn ob er hochfährt....

Edit:
hochfahren klappt Tskmgr nicht... ich werde jezz ein paar virenprogramme durchlaufen lassen....

HiJackThis File:

Code:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 00:30:11, on 23.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
K:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
D:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\winupdate86.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\Shared Files\CTSched.exe
C:\Programme\Vtune\TBPanel.exe
C:\Dokumente und Einstellungen\Bjarne\Anwendungsdaten\9.exe
K:\Programme\Logitech\SetPoint\SetPoint.exe
K:\Programme\SpeedFan\speedfan.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
E:\Programme\Mozilla Firefox\firefox.exe
K:\Programme\SpeedFan\speedfan.exe
E:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\msiexec.exe
K:\Programme\ASCOMP Software\Files Suite\fsuite.exe
K:\Programme\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\COMPAQ\SetRefresh\\SetRefresh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [Win32load] C:\Dokumente und Einstellungen\Bjarne\Anwendungsdaten\9.exe -lds
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = K:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Logitech SetPoint.lnk = K:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://www.joomlaos.de
O15 - Trusted Zone: http://www.spieleforum.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226747589718
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - K:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 11350 bytes

Inmate 23.12.2009 01:23
Zitat:
Zitat von Linkk (Beitrag 488563)
Moin Leute!
Ich hab heute im inet gesurft auf einer seite auf der ich schon 1000 mal war (http://battleforge.gamona.de/)
Da sind 4 meldungen von antivir gekommen
2mal TR/Dropper.GEN
und 2mal TR/PCK.Tdss.AA.2418
aber das ist nicht das Problem, sondern dass sich der Desktophintergrund in einen Neongrünen mit schwarzen Kasten verändert hat. Das Problem hatte ich noch nie und möchte wissen ob das normal ist.
Zusätzlich erscheint unten rechts manchmal auf englisch der text dass ich nach updates für windows suchen soll und darauf klicken soll. Das symbol idt ein weißes Kreuz auf rotem Kreis.

Danke im vorraus MfG Linkk
Das war warscheinlich einfach nur Werbung.Solange das Update Symbol nicht auf der Website ist kannst du es ruhig anklicken ;)

Linkk 23.12.2009 01:46
Zitat:
Zitat von Inmate (Beitrag 488579)
Das war warscheinlich einfach nur Werbung.Solange das Update Symbol nicht auf der Website ist kannst du es ruhig anklicken ;)
Werbung?? Ist es für dich werbung wenn dein desktop nen andern hintergrund bekommt, den man nciht ändern kann, der taskmanager nicht mehr geht und dauernd ein pop-Up erscheint???

cosinus 23.12.2009 10:51
Hallo,

der tdss/tdl ist mit Sicherheit keine harmlose Werbung, das ist ein rel. hartnäckiges Rootkit!

@Linkk, bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Linkk 23.12.2009 14:52
ok hier sind logfiles

P.S. Taskmanager geth wieder ^^

cosinus 23.12.2009 14:54
Wo sind die von RSIT? Hast Du die Funde mit MalwareBytes nicht entfernen lassen?!

Linkk 23.12.2009 14:58
sorry RSIT ist ncoh nicht fertig ich hab nur malware und hijack hochgeladen weil ich die über die nacht gemacht habe

Ich habe eine Frage:
Könnte ein Systemwiederherstellungspunkt von vor 2-3Wochen das Problem beheben?

cosinus 23.12.2009 14:59
Nee, bei einem aktiven Rootkit seh ich die Chance auf Erfolg mit der SWH bei quasi 0% :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:39 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19